Philippe a acheté une Hyundai Ioniq 5 en juin 2024 à Québec. Après dix-huit mois, son assureur a ajusté sa prime à la hausse : +340 $ par année. Raison invoquée : “profil de conduite à risque, multiples événements de freinage sévère”.
Philippe n’avait jamais partagé ses données de conduite avec son assureur. Il n’avait pas d’application de télématique activée. Il n’était jamais passé par un programme d’usage-based insurance.
Après trois mois de plaintes et un suivi avec l’Association pour la protection des automobilistes, il a découvert que Hyundai vendait depuis 2022 les données comportementales de ses conducteurs à LexisNexis Risk Solutions, qui les revendait aux assureurs canadiens. Philippe avait “accepté” cela en cochant les conditions d’utilisation de MyHyundai lors de l’activation de la voiture, dans un document PDF de 97 pages.
Le rapport Mozilla qui a tout changé
En septembre 2023, la Mozilla Foundation a publié son rapport annuel Privacy Not Included. Pour la première fois, la catégorie voitures y figurait. Le verdict a fait le tour du monde.
25 marques testées. 25 échecs.
Pas une seule marque — ni Tesla, ni Ford, ni Toyota, ni BMW, ni Hyundai, ni Kia, ni Nissan, ni Subaru, ni Volkswagen — ne respectait les critères minimaux de confidentialité. Mozilla a qualifié la catégorie “pire que n’importe quelle autre jamais testée”, devant les trackers de santé, les jouets connectés pour enfants et les enceintes intelligentes.
Les trouvailles les plus marquantes :
- 84% des marques partagent ou vendent les données personnelles des conducteurs à des tiers.
- 76% affirment pouvoir vendre ces données.
- 92% ne donnent aucun contrôle significatif aux conducteurs sur leurs propres données.
- 56% admettent pouvoir partager les informations avec les forces de l’ordre sur simple demande (sans mandat).
- Nissan : la politique de confidentialité dit collecter “l’activité sexuelle” et “les données génétiques et de santé”.
- Kia : mentionne explicitement “la vie sexuelle”.
- Subaru : considère comme consentement implicite le simple fait qu’un passager monte dans le véhicule.
- Tesla : a reçu toutes les étiquettes négatives possibles, incluant l’absence de politique de suppression des données.
Le rapport a été mis à jour en 2024 et 2025. Les conclusions n’ont pas changé structurellement.
Ce que votre voiture sait sur vous
Une voiture moderne (2022 et plus récente) n’est pas un objet mécanique avec un peu d’électronique. C’est un ordinateur roulant avec 75 à 150 capteurs, un modem cellulaire intégré (4G/LTE voire 5G), et une connexion permanente au cloud du constructeur.
Ce qu’elle collecte, généralement en continu :
Localisation et trajets. GPS intégré qui envoie vos trajets complets au constructeur. Pas seulement les points de départ et d’arrivée — la trace complète, heure par heure. Archivée pour des durées qui varient de 90 jours à 10 ans selon les marques.
Style de conduite. Accélération, freinage, vitesse moyenne, vitesse maximale par trajet, nombre de virages serrés, utilisation des clignotants. Scores comportementaux calculés. Revendus à des courtiers en données (LexisNexis, Verisk, Arity).
Usage du véhicule. Quand vous roulez, combien de temps, avec combien de passagers (pression des sièges), quel siège est occupé. Distances parcourues, fréquence d’utilisation.
Audio cabine. Les voitures avec commandes vocales ont des microphones actifs en permanence pour détecter le mot de réveil. Sur Mercedes, Hyundai, Tesla, Ford, certains modèles BMW : enregistrements envoyés au cloud pour analyse. Politique variable sur la rétention.
Vidéos. Tesla Sentry Mode filme en continu à l’arrêt et garde les vidéos sur la carte SD (Tesla) ou dans le cloud (mode avancé). Caméras de recul et 360° présentes sur la plupart des modèles 2023+. Stockage cloud variable.
Téléphone couplé. Dès que vous connectez votre téléphone à Apple CarPlay ou Android Auto, le véhicule peut capter vos contacts, votre historique d’appels, vos SMS, votre liste de lecture musicale, votre historique de navigation GPS.
Biométrie. Certains modèles haut de gamme (BMW iX, Mercedes EQS) intègrent de la reconnaissance faciale du conducteur, une analyse de l’attention (caméra orientée visage), détection de la fatigue via mouvements oculaires.
Données environnementales. Météo, qualité de l’air, données de circulation locale — envoyées au cloud, agrégées, revendues.
Téléchargement du téléphone. Lorsque vous connectez votre téléphone via USB ou Bluetooth, certains véhicules téléchargent une copie partielle de vos données (photos, messages). Signalé sur Ford, Chevrolet et Chrysler en 2019-2021. Pratique partiellement corrigée, mais pas sur tous les modèles.
Les grands constructeurs et leurs pratiques
Tesla
Collecte : maximale. Tesla enregistre vos trajets GPS complets, l’usage de l’Autopilot, les freinages d’urgence, les accidents, les caméras Sentry. Les vidéos Sentry sont partagées avec Tesla lors d’un diagnostic à distance.
Politique : Tesla a subi une enquête en 2023 après qu’une fuite ait montré que des employés partageaient entre eux des vidéos captées par les caméras des clients (scènes personnelles, intimité, etc.). Amende de 2,4 millions $ en Allemagne en 2024.
Opt-out partiel : dans l’écran central → Contrôles → Logiciel → Partage de données → désactivez “Partage de données analytiques” et “Partage de caméra”. Limite : certaines données télémétriques continuent d’être envoyées pour la sécurité.
Si vous vendez une Tesla : effectuez un Factory Reset complet (Contrôles > Service > Factory Reset). Sans cela, le prochain propriétaire accède à votre historique de trajets, adresses favorites, compte Spotify, etc.
Hyundai et Kia
Collecte : importante. Les deux marques (même groupe) envoient des données télématiques via Blue Link (Hyundai) et UVO (Kia). Partenariat documenté avec LexisNexis et Verisk aux États-Unis.
Politique : poursuites collectives en 2024 aux États-Unis pour partage non consensuel avec les assureurs. Hyundai a modifié sa politique au Canada en 2024 — en théorie, pas de partage assureur sans consentement explicite. En pratique, vérifiez vos paramètres MyHyundai.
Opt-out : application MyHyundai → Paramètres → Confidentialité → désactivez “Partage de données de conduite” et “Analytics”. Même logique sur MyKia.
Ford et Lincoln
Collecte : étendue via FordPass. Ford a admis en 2019 pouvoir télécharger contenu du téléphone via SYNC. Partenariats avec des courtiers en données depuis 2021.
Politique : Ford a été poursuivi en 2024 après qu’un journaliste ait obtenu 17 mois de données de conduite d’un abonné sans que celui-ci ait consenti de façon éclairée. Cas réglé à l’amiable.
Opt-out : FordPass → Compte → Préférences de confidentialité → désactivez “Connected Services” et “Data Sharing”. Certaines fonctionnalités (démarrage à distance, alertes) cessent de fonctionner.
General Motors (Chevrolet, GMC, Cadillac, Buick)
Collecte : maximale. GM a été l’objet du scandale le plus médiatisé en 2024 : le New York Times a révélé que GM vendait les scores de conduite de millions de propriétaires à LexisNexis, qui les revendait aux assureurs. Des conducteurs ont vu leurs primes augmenter sans jamais avoir signé de consentement clair.
Politique : GM a arrêté les partenariats avec LexisNexis et Verisk en mars 2024 après la vague de poursuites. Les données déjà collectées restent sur les serveurs de ces courtiers.
Opt-out : OnStar → Preferences → désactivez “Smart Driver” et “Data sharing with affiliated companies”. Si vous avez une voiture GM 2020+, vérifiez.
Nissan et Subaru
Collecte : politiques les plus permissives du rapport Mozilla. Nissan affirme collecter “activité sexuelle” et “données génétiques”. Subaru considère que tout passager donne un consentement implicite en montant.
Politique : peu de changements depuis 2023 malgré la pression médiatique.
Opt-out : limité. Application NissanConnect et Subaru Starlink → paramètres de confidentialité. Utile mais partiel.
BMW et Mercedes-Benz
Collecte : importante, mais cadre européen (RGPD) plus strict que l’américain. Les versions vendues au Canada suivent souvent les règles américaines, malheureusement.
Politique : BMW a été amendé en 2024 en France pour non-conformité RGPD. Mercedes a été plus discret mais collecte autant.
Opt-out : My BMW et Mercedes me → Confidentialité → désactivez les partages non essentiels.
Toyota et Honda
Collecte : plus modérée que les marques américaines. Toyota est historiquement plus conservateur avec les données.
Politique : Toyota a subi une fuite en 2023 exposant la localisation de 2,15 millions de clients pendant 10 ans. Incident de négligence, pas de vente volontaire.
Opt-out : Toyota Connected et HondaLink → paramètres de confidentialité. Limites claires à ce qu’on peut désactiver.
Comment limiter la casse
Avant l’achat
- Consultez le rapport Mozilla Privacy Not Included pour le modèle envisagé.
- Lisez la politique de confidentialité avant de signer. Oui, c’est 80 pages. Mais vous signez un contrat de surveillance, prenez 20 minutes.
- Préférez un véhicule plus ancien (avant 2018 idéalement) si la vie privée est prioritaire. Télématique minimale, souvent débrayable, pas de modem cellulaire intégré permanent.
À l’activation
- Ne créez pas de compte constructeur si possible. Vous pouvez souvent utiliser la voiture sans activer MyHyundai, Ford Account, MyToyota, etc. Vous perdez des fonctionnalités secondaires (démarrage à distance, préchauffage), mais la collecte télématique est largement coupée.
- Refusez explicitement le consentement analytics. Si l’écran tactile vous demande d’accepter le partage de données, dites non. Vous pouvez toujours changer d’avis après.
- Ne couplez pas votre téléphone principal. Utilisez un vieux téléphone ou refusez CarPlay/Android Auto. Les trajets restent locaux, sans exfiltration de contacts ou SMS.
Sur une voiture déjà achetée
Étape 1 — Inventaire. Sur le site du constructeur (via votre compte), trouvez la section “Vos données” ou “Privacy Dashboard”. Tous les grands constructeurs ont ça depuis 2024 sous la pression légale. Téléchargez vos données, regardez ce qu’ils ont.
Étape 2 — Désactivations. Application mobile + écran central → section confidentialité → désactivez tout ce qui n’est pas strictement nécessaire à votre usage quotidien.
Étape 3 — Suppression. Demandez la suppression des données historiques. C’est votre droit au Québec sous la Loi 25. Contactez le responsable de la protection des renseignements personnels du constructeur (coordonnées obligatoires sur leur site).
Étape 4 — Coupure télématique. Dans les cas extrêmes, il est techniquement possible de débrancher le modem cellulaire de la voiture. À faire par un technicien spécialisé, ça peut annuler la garantie ou affecter la sécurité (eCall, SOS). Réservé aux profils à haut risque (journalistes, personnes publiques, victimes de stalking).
Avant de vendre la voiture
Faites toujours un Factory Reset avant la vente ou la mise à la ferraille. Sinon :
- Le nouveau propriétaire voit votre historique de trajets.
- Il peut se connecter à vos comptes Spotify, Apple Music, etc.
- Il reçoit peut-être vos notifications de voiture sur son téléphone.
- Votre nouvelle plaque d’immatriculation reste liée à vos anciennes données.
Sur chaque modèle, la procédure Factory Reset est dans le manuel. Sinon, le concessionnaire peut le faire (ne payez pas plus de 50 $ — c’est 3 minutes de manipulation).
Le cas de la SAAQ et de l’usage-based insurance
Au Québec, la Société de l’assurance automobile du Québec (SAAQ) gère l’immatriculation et l’assurance publique. Elle ne collecte pas les données de conduite des constructeurs.
En revanche, les assureurs privés (pour la couverture collision et dommages) proposent de plus en plus des programmes usage-based insurance (UBI) : La Capitale Pilote, Intact Mon Conduire, Belair Direct MyDrive. Ces programmes lisent vos données de conduite via une application ou un boîtier OBD, avec votre consentement explicite.
Ces programmes sont différents du partage non consensuel via le constructeur. Ils sont légaux et transparents. Avec le scandale GM, les régulateurs canadiens et québécois surveillent de près le partage non consensuel.
Si votre assureur ajuste votre prime et mentionne des “événements de conduite” alors que vous n’avez jamais participé à un programme UBI, demandez la source exacte des données. Vous avez le droit à une réponse claire. Si le constructeur est la source, vous pouvez porter plainte à la CAI du Québec.
Le cadre légal au Québec en 2026
Loi 25 (Loi sur la protection des renseignements personnels dans le secteur privé) :
- Les constructeurs vendant au Québec doivent obtenir un consentement manifeste, libre, éclairé et donné à des fins spécifiques.
- Une politique de 97 pages cachée derrière un bouton “J’accepte” ne satisfait pas l’esprit de la loi.
- Les sanctions peuvent atteindre 25 millions $ ou 4% du chiffre d’affaires mondial.
- Vous avez le droit d’accéder à vos données, de les rectifier, de les supprimer, et de retirer votre consentement à tout moment.
CAI (Commission d’accès à l’information du Québec) : reçoit les plaintes et peut imposer des sanctions.
Malgré ce cadre strict, aucun constructeur n’a encore été lourdement sanctionné au Québec spécifiquement pour pratiques de surveillance automobile. Les premières jurisprudences sont attendues en 2026-2027.
Ce qu’il faut retenir
Les voitures connectées vendues en 2026 sont des dispositifs de surveillance en mouvement. Tesla, Hyundai, Ford, GM, Kia, Nissan et Subaru sont les pires selon Mozilla. Toyota et Honda sont un cran moins pires. Aucun n’est bon.
Les trois actions qui réduisent le plus le risque :
- Désactivez tout partage non essentiel dans l’application constructeur et l’écran central du véhicule.
- Ne couplez pas votre téléphone principal via CarPlay/Android Auto — ou acceptez-en les conséquences en matière d’exfiltration de contacts/SMS.
- Factory Reset obligatoire avant vente ou passage à un nouveau propriétaire.
Le jour où le Canada adoptera une loi fédérale équivalente au RGPD européen, les pratiques changeront. D’ici là, c’est à vous de décider combien d’espionnage vous acceptez de payer chaque fois que vous tournez la clé.
Sequr — Agent certifié québécois
Audit voiture connectée : inventaire des données collectées, désactivation des partages, Factory Reset avant vente, conseils sur modèles à faible empreinte vie privée. Nous nous déplaçons partout au Québec.
À lire aussi :
